Die Bundesnotarkammer hat einen Entwurf zu Verhaltensregeln rausgegeben und diese wurden vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI, Prof. Ulrich Kelber) genehmigt. Diese Verhaltensregeln nach Art. 40 Abs. 2 lit. h DSGVO präzisieren die technischen und organisatorischen Maßnahmen, die von den Notarinnen und Notaren in Deutschland einzuhalten sind.
Was ist an dieser Genehmigung besonders?
Es sind die ersten uns bekannten Verhaltensregeln nach Art. 40 DSGVO, die genehmigt wurden und technische und organisatorische Maßnahmen verbindlich regeln. Gleichzeitig unterliegen Notare einer besonderen Vertraulichkeitsverpflichtung, die sich aus §203 StGB ergibt und in dieser Form auch für Ärzte, Anwälte, Steuerberater und weitere Berufsgruppen gilt.
Warum sind diese Verhaltensregeln auch für alle anderen Unternehmen von Interesse?
Durch die besonderen Vertraulichkeitsverpflichtung der Notare ist im Umfeld der Notare auch besonders auf die technischen und organisatorischen Maßnahmen zu achten, damit die Schutzziele des Datenschutzes im Bereich der Vertraulichkeit, Integrität und Verfügbarkeit der Daten angemessen berücksichtigt werden. Orientiert man sich bei der Realisierung der eigenen Maßnahmen an den Verhaltensregeln für Notare, so kann dies nicht nachteilig sein. Ansonsten steht ja immer die Frage im Raum, welche Maßnahmen angemessen sind und dem Stand der Technik entsprechen. Wer sich also an diesen Maßnahmen orientiert, diese ebenfalls etabliert oder sogar übererfüllt, kann relativ sicher sein, einen vernünftigen Schutz personenbezogener Daten etabliert zu haben.
Wir haben die Anforderungen einmal aus unserer Sicht etwas strukturiert und mit Beispielmaßnahmen versehen. Das Ergebnis stellen wir unseren Mandanten als Excel-Tabelle zum Abgleich mit den eigenen umgesetzten Maßnahmen zur Verfügung.
Am Ende kann man die Maßnahmen etwa wie folgt zusammenfassen:
Organisatorisch mit der IT-Abteilung bzw. dem IT-Dienstleister:
- Benutzermanagement (Prozess zum Ein- und Austritt von Mitarbeitern)
- Berechtigungskonzept erstellen und Benutzerrechte entsprechend vergeben
- Datensicherungskonzept erstellen und regelmäßig überprüfen
- Notfallplan erstellen und regelmäßig überprüfen
- Datensicherung überwachen und regelmäßige Testrücksicherungen durchführen
- Dokumentation und Inventarisierung der Systeme
Technisch mit der IT-Abteilung bzw. dem IT-Dienstleister:
- Umsetzung gängiger Verschlüsselungen im Internet, Netzwerk, Datenträgern, Endgeräten und Servern
- Virenschutz an allen Endgeräten und Server
- Spam- und Schadsoftwareschutz für E-Mail
- Patch-Management für die regelmäßige Aktualisierung der Systeme
- Firewallsystem zur Absicherung des Netzwerkes nach außen
- Netzwerksegmentierung zur inneren Absicherung des Netzwerkes
- USV, Klimatisierung und weitere umgebungsabhängige Absicherung der Server
- Monitoring der IT-System, vor allem in Bezug auf Backup, Events und Zuverlässigkeit
- Redundante Auslegung wichtiger Komponenten
- Vermeidung von Ausfallrisiken durch Modernisierung und Garantien
Organisatorisch / Management:
- Passwortrichtlinie mit Vorgaben zur Komplexität, Aufbewahrung, Speicherung und Weitergabe
- IT-Richtlinie mit Vorgaben zur korrekten Nutzung der IT, privaten Endgeräten und Vertraulichkeit
- Schulung der Mitarbeiter in Bezug auf die korrekte Nutzung der IT und zu Sicherheitsbedrohungen
Überwachend / Management:
- Turnusmäßige Überprüfung der umgesetzten Maßnahmen, ob diese wirksam und aktuell sind.
- Physischer Rundgang zur Überprüfung der Elemente, die von den Maßnahmen betroffen sind.
- Regelmäßige Zusammenarbeit mit der Administration oder dem IT-Dienstleister (Beratungen)
Unser Fazit
Viele Maßnahmen sind heute durchaus üblich. Für einige unserer Mandanten wird diese Liste an geforderten Maßnahmen keine allzu große Sprunghöhe bedeuten. Zudem muss man bei der Angemessenheit auch das eigene Tätigkeitsfeld betrachten. Kleinere Unternehmen in Industrie und Handel unterliegen nicht der besonderen Vertraulichkeitspflicht nach §203 StGB, weshalb hier vielleicht nach eigener Risikobewertung die eine oder andere Maßnahme etwas abgespeckter umgesetzt werden kann. Unternehmen mit vielen sensiblen Informationen bzw. Daten aus den besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) werden möglicherweise diese Checkliste übererfüllen müssen.
Gerne unterstützen wir unsere Mandanten bei der Umsetzung der Maßnahmen. So stehen wir für Beratungen zur Verfügung, die entsprechende Maßnahmen betreffen, gerne auch in einem gemeinsamen Gespräch mit der IT oder dem IT-Dienstleister. Auch bei den Schulungen der Mitarbeiter im Bereich Datenschutz und Awareness (IT-Sicherheit) stehen wir mit unserem Schulungsportal an Ihrer Seite. Auch organisatorisch stellen wir unseren Mandanten bereits seit der Einführung unseres Datenschutzhandbuches entsprechende Vorlagen zur Dokumentation des Berechtigungs- und Datensicherungskonzeptes und des Notfallplans zur Verfügung. Auch notwendige Richtlinien für die Nutzung der IT-System befinden sich als Muster bereits im Datenschutzhandbuch und müssen nur noch an die eigenen Bedürfnisse angepasst werden.
Zuletzt zeigt sich aber auch, dass unser bisheriger Grundsatz „einmal im Jahr sieht man sich“ zur Überprüfung der umgesetzten Maßnahmen nicht verkehrt ist; auch wenn dies in Corona-Zeiten etwas zu kurz gekommen ist. Auch diese Verhaltensregeln fordern eine regelmäßigen Überprüfung inkl. physischen Rundgang.
Unsere Checkliste als PDF
Quellen:
Veröffentlichung des BfDI zu den Verhaltensregeln für Notare, mit PDF-Datei
Pressemittelung des BfDI zu den Verhaltensregeln für Notare